Tankar om datasäkerhet

Med anledning av mitt föregående inlägg (på finska) så vill jag ge mina läsare lite att tänka på angående datasäkerhet. Först i orderform ett par grundsaker med förklaringar, som förhoppningsvis alla är medvetna om (?) och sedan en liten lista över vardagliga saker som jag tycker Du ska se över och sätta i skick i Ditt digital liv.

Du skall icke upprepa Dig

Använd aldrig samma lösenord i olika tjänster. Har Du svårt att komma ihåg dina lösenord, så kan Du t.ex. ge den uppgiften till en applikation, som låser dom bakom ett huvudlösenord eller förvara dem krypterat på en särskild minnessticka som du inte använder för något annat eller helt enkelt ha dom på papper i ett kassaskåp.

Macro computer screen shot with binary code and password tex, great concept for computer, technology  and online security.

Ett bra lösen kräver inte en massa specialtecken (om inte tjänsten kräver det). Du väljer bara slumpmässigt fyra eller fem ord och ersätter en eller två tecken med siffror och specialtecken. Bäst är ord som inte finns i någon ordbok, t.ex. dialektala uttryck. Vi tar en titt på styrkan hos två olika fiktiva lösen för musiktjänsten Spotify:

  • Spotify:spo#fyr4töt4ltslump4deörd (läs: ”fyra totalt slumpade ord”)
  • $pO7I§µ (anm. unga lär skriva så här på nätet)

För det första lösenordet finns 6,49 x 1045 kombinationer. Dagens bästa superdator kan pröva 16,32 x 1012 kombinationer i sekunden. På ett år finns 31 536 000 sekunder. Datorn arbetar således i 1,26 x 1025 år. Med energiförbrukning i klass A++ skulle detta kräva en monopol på Solens energi i över 140 000 år.

Perspektiv: Universum är cirka 4,33 x 1017 sekunder gammalt.

P.S. Det andra lösenordet bryts på 5 sekunder…

Du ska både bära föremål och minnas lösenord

Med stark autentisering avses en elektronisk metod där identifieringen och verifieringen grundar sig på minst två av följande tre alternativ:

  1. ett lösenord eller någonting annat som en innehavare av ett identifieringsverktyg vet,
  2. ett smartkort eller någonting annat som en innehavare av ett identifieringsverktyg har i sin besittning, eller
  3. fingeravtryck eller någon annan egenskap som identifierar en innehavare av ett identifieringsverktyg.

Vid en bankomat autentiseras Du med både kort och PIN-kod. Traditionellt använder webbtjänster bara användarnamn och lösenord. Användarnamnet är ofta offentligt eller dåligt skyddat. Flere webbtjänster erbjuder stark autentisering. Ta vara på erbjudandet och använd stark autentisering åtminstone i de viktigaste tjänsterna. Om Du inte vaknade till i förra kapitlet, så är det nu skäl att avbryta läsandet och sätta ett skal till på Din digitala säkerhet.

P.S. Läs http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/ och ta en funderare hur lätt det vore att hacka Ditt digitala jag.

Sätt grundsakerna i skick!

Här har Du en förteckning på några åtgärder som Du ska skrida till, i syfte att öka Din säkerhet.

  • Använd i internet en tjänst som håller reda på Dina lösen. T.ex. F-Secure Key eller KeePass. Med dessa kan du lätt förvara, använda och skapa lösen. Kom trots allt ihåg att byta lösen tillräckligt ofta. Ett gammalt lösen är alltid ett gammalt lösen.
  • Kommentar: I världen efter Snowden blir vi lätt rädda för att överlåta våra lösen till en applikation. Du kan minska denna ångest genom att bekanta Dig med hur krypteringen fungerar. Det viktigaste är att Du väljer en tjänst som både skyddar förbindelsen och datan med stark kryptering. De ovannämnda är sådana. Jag brukar inte göra reklam eller rekommendera, men F-Secure för PC och mobilen är stenhård. Själv har jag ett par andra lösningarr ibruk, som närmast härstammar från ett nördaktigt kontrollbehov, men då jag tidigare använt F-Secure har jag aldrig blivit besviken. Vill Du ha en lätt, säker och pålitlig lösning, så ska Du köpa finskt.
  • Uppbackningar är viktiga och dom ska Du skydda. Du kan t.ex använda TrueCrypt programvaran. Märkväl att hotet av ”brute force” angrepp inte försvinner, så ha ett starkt lösen.
  • Använd sk tvåstegs autentisering alltid (när tillgänglig), där Du alltså ska ge en skild bekräftning efter att ha matat lösen. Detta kan vara ett svar på ett SMS eller YubiKey-autentisering.
  • Traditionella anti-virusprogram räcker inte längre. Se till att Du också har skydd mot sk malware, t.ex med MalwareBytes eller SpyBot jne.
  • Reklamer är lätta att klicka på, i synnerhet om datorn används gemensamt/offentligt. Du får stopp på reklamer i Din webbläsare med sk. add-ons, t.ex AdBlock.
  • På webbläsare i offentligt bruk ska Du använda incognito-funktionen, som inte lagrar historia eller annan data efter sessionen. Kom dock ihåg att stänga läsaren helt efter användning, eftersom vissa läsare kortvarigt lagrar data under pågående session.
  • Kom ihåg att skydda Din mobil och pekplatta. Samma program och lösningar finns mobilt och det är skäl attt skaffa dom!
  • Du ska städse uppdatera och uppbbacka. Automatisera gärna denna rutin och låt datorn göra jobbet så ofta som Du bestämmer. Granska regelbundet uppbackningarnas integritet.
  • Gardera Dig på sociala medier. SoMe är modernt och ger fler möjlligheter och dimensioner för kommunikation. Kom ihåg att skydda Dina (och andras) kontaktuppgifter. Du gör väl i att lämna känsliga ärenden och provocerande åsikter utanför sociala medier.
  • IRL: Vid bankomaten ska Du skydda din PIN-kod med handen.
  • E-posten fylls med phishingförsök, där man alltså frågar efter lösen och annat. Öppna aldrig dessa.

Här var nåra enkla tankar från en enkel soldat till andra enkla användare. Synpunkter och flera tips tas emot i kommentarsfältet nedan. I mitt nästa inlägg ska jag mera ingående svara på frågan varför?

Let’s keep ourselves and the internet safe!

5 reaktioner på ”Tankar om datasäkerhet

  1. Här skriver man för långsamt…🙂
    90 bitar är förövrigt 10^27 kombinationer och 10^20 kombinationer är 66 bitar för den som inte orkar räkna och undrar hur våra två inlägg relaterar till varandra.

    Gilla

  2. Som tillägg till min kommentar är här ett försök att räkna på exemplet med de fyra slumpade orden “fyra totalt slumpade ord” så som jag förstod instruktionerna. Jag kan mycket väl ha räknat fel eller missuppfattat så kritik mottages tacksamt.
    Ursäkta matematiknörderiet🙂
    Jag tänker att det hela kan brytas ner i tre steg.
    1) Slumpa fram frasen “fyratotaltslumpadeord”.
    2) Välja ut två bokstäver att ersätta
    3) Ersätta bokstäverna.
    1) är hyfsat enkel att räkna på. N^4 där N är antalet ord i ens ordföråd/ordlista. 128 000 om man använder SAOL. Räknar vi pessimistiskt räcker kanske en attackordlista på 1000 ord. Alltså 10^12 kombinationer.
    2) Här får man ta fram binomialkoefficienter “från n tag k”. “fyratotaltslumpadeord” innehåller 13 olika tecken och vi ska välja ut 2. Alltså n=13, k=2.
    Formeln för binomialkoefficienten lyder n!/(k!(n-k)!) = 78
    3) Det finns 95 synliga/skrivbara ASCII-tecken. Eftersom tecknet vi byter ut redan är taget har vi 94 att välja på. Två tecken kan således bytas ut på 94*94 = 8836 sätt.
    Multiplicerar man ihop dessa tre steg får vi 10^12*78*8836 = 6,8*10^17 (avrundat nedåt). Steg 2 kommer variera lite beroende på frasen man börjar med men det borde inte bli några våldsamma skillnader.
    En ordlista om 10^4 ord ger istället 6,8*10^20 kombinationer.
    Så i värsta fall kan det lösenordet förväntas knäckas på ungefär ett halvår av superdatorn ovan. Det får nog anses vara ett säkert lösenord till spotify😉
    5 ord och det tar ~500 år. (Eller så väntar man en 15 år tills datorerna hunnit ikapp)
    Får man en för kort fras (enligt något kriterie) så är det bättre/enklare att dra ytterligare ord än att göra en ny dragning. Slänger man alternativ så gäller inte längre N^4 som formel i steg 1.
    En intressant sida jag snubblade över nu när jag skrev det här inlägget är http://world.std.com/~reinhold/diceware.html som har en ordlista om 7776 ord att välja från med hjälp av en tärning.

    Gilla

  3. Tack för era kommentarer, Jonas och Sebastian!

    Detta är ett mycket värdefullt bidrag till diskussionen. Mitt inlägg var mycket förenklat, för att anpassa för läsare. Då vi talar om styrka på lösen måste vi gå in på begreppet entropi, vilket orsakar huvudvärk för många. Förenklat kan vi konstatera att ett lösen på 25 tecken, var och en valda ur en mängd av 78 möjliga symboler, har en entropi på ~157 bitar.

    Här är formeln H=log2NL , där H är entropi i bitar, N är antalet symboler som man väljer ur och L är lösenordets längd. Exakt räknat med WolfamAlpha här.

    Detta innebär alltså att ett lösen skapat på detta sätt skulle kräva 2H försök för att pröva alla möjligheter med ett sk ”brute force” angrepp.

    Förenklat igen kan vi säga att entropi som överstiger 90 bitar är tillräcklig för ett lösen. Det svåra är förstås att generera ett lösen slumpmässigt. Människor är oerhört dåliga på detta. Ett sätt att slumpa är att använda tärningar och Diceware-ordlista. I detta alternativ väljes orden från en ordlista och tärningarna används som . Att angripa lösenordet med hjälp av ordlistan blir ändå inte brukbart, då det handlar om flera ord i följd. Ordlistans N=7776. Jag rekommenderar följande enkla läsning kring detta, i synnerhet kommentarerna är mycket bra och ingående:

    XKCD #936: Short complex password, or long dictionary passphrase?

    Can a dictionary attack crack a Diceware passphrase?

    Grunder och lite svårare läsning finns här:

    Wikipedia – Password strength

    Summa summarum: Det viktigaste är att skapa lösenord slumpmässigt. Din egna gråa processor klarar tyvärr inte av detta. Det bästa alternativet är att använda mjukvara såsom F-Secure KEY eller hårdvara, dvs. tärningar. Om Du ändå själv insisterar på att skapa Dina egna lösenord utan metod, så ska Du se till att Du använder flera symboler än 0-9 eller a-z.

    Gilla

  4. Fortsättning från diskussion på twitter. Till att börja med är jag blott en amatör som de flesta och kombinatorik är svårt. Men i alla fall.
    Ord som finns i ordlistor brukar det avrådas ifrån då det går snabbt att jobba sig igenom ett gäng ordlistor. Men kombinerar man flertalet ord kan det ändå bli ok.
    Byter man ut ett ord mot ett dialektalt ord gör man det såklart svårare i den meningen att vanliga ordlistor inte kan användas. Problemet är om det är en riktad attack och kodknäckaren har läst den här bloggen. Men man ska alltid anta det värsta🙂
    Tanken med den här typen av lösenord är väl att de ska vara enkla att komma ihåg snarare än effektiva sett till deras längd. De kan vara lämpliga som huvudlösenord till KeePass eller dylikt som nämndes i inlägget ovan.
    Det svåra är att verkligen dra orden slumpmässigt. Att hitta på sina egna slumpmässiga ord ger nog en ord-pool om bara några hundra ord skulle jag tro och då får man välja ganska många ord för att få hyfsad styrka. I varje fall 10 ord. (200^10 = 10^23). Fast man bör försäkra sig om att man har 200 ord då och inte bara chansar!
    En fallgrop är korta ord. “i-en-å-på-en-ö” är förvisso 6 ord men bara 9 tecken, så man får räkna defensivt. Men det är svårt då vanliga ord följer vissa mönster. Det finns tex sällan två vokaler i rad i svenska ord. Så att ta 28^9 överskattar komplexiteten tyvär.
    Min magkänsla, som man inte ska lite på, säger dock att det borde bli ok om man tar bort alla korta ord från ordlistan.
    Förslaget om att byta ut ett eller två tecken per ord förbättrar det hela avsevärt. Jag försökte räkna på det här men insåg efter ett tag att jag räknar fel. Återkommer kanske om jag inser vad jag gjorde för fel.
    spo#fyr4töt4ltslump4deörd är 25 tecken och 5 ord, även om det första inte är helt slumpat.
    Här är jag lite nyfiken på hur det har räknats.
    Ett slumpat lösen av samma längd kan skapas på 72^25 = 2,7*1e46 olika sätt. Det känns inte helt rimligt att de två metoderna skulle vara så likvärdiga.

    Gilla

Kommentera | Kommentoi

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s